1.常见的攻击行为有哪些？单包攻击有哪些分类？扫描窥探攻击能造成攻击行为吗？LAND攻击和Smurf攻击是什么原理？只有在少数攻击者能起作用吗？特殊控制报文攻击有哪些？泛洪攻击什么意思？怎么防范？源地址欺骗攻击什么意思？有哪些防范方法？中间人攻击什么意思？ARP欺骗攻击属于中间人攻击吗？怎么防止？

1. 单包攻击、泛洪攻击、源地址欺骗攻击
2. 扫描窥探攻击、畸形报文攻击、特殊报文攻击
   1. 
3. 不能造成攻击行为
4. LAND攻击通过源IP和目的IP都是服务器IP来造成服务器端创建大量的TCP连接消耗CPU资源导致其它正常的用户无法与服务器建立TCP连接。smurf攻击通过伪装被攻击者IP（目的MAC为广播MAC）向局域网内发送目的地址为广播地址的ICMP请求，导致局域网内所有主机都会向被攻击者发送ICMP reply，造成主机的网卡带宽资源被大量消耗，无法正常上网。
5. 有作用，但是不能起到多大的危害
6. ICMP重定向、ICMP不可达
7. 泛洪攻击就是指大量发送ARP请求，以使目的主机需要大量的回复ARP请求报文导致消耗CPU资源
8. 可以通过设置阈值来控制接收的最大量
9. 源地址欺骗就是攻击者通过一些手段将源IP伪装成被攻击者IP，攻击者可以使用伪装的IP地址去访问资源。
10. IPSG和URPF
11. 中间人攻击指的是当其它主机需要进行通信时需要先发送给中间人为其转发，这样中间人（攻击者）就可以看到所发送的内容。
12. ARP欺骗属于中间人攻击，因为这样使得其它设备寻找网关时欺骗了主机，让其认为网关是我们的攻击者，这样就造成了访问其它网段时先访问攻击者然后攻击者为其转发至网关。
13. 使用DAI（需要配合DHCP Snooping使用）

2.什么叫IPsec？IPsec有哪些安全协议？有什么差别？有哪些封装模式？两种封装模式有什么差别？画出封装的报文格式？ESP加密的时候为什么不加密ESP头部？头部里有什么？隧道模式封装时能不能对新增IP头部加密？为什么？IPsec能做到哪些安全特性？机密性什么意思？完整性什么意思？抗重性什么意思？真实性什么意思？分别怎么实现的？

1. 互联网安全协议，用于封装报文
2. AH、ESP
3. AH验证整个IP报文，ESP不验证IP头部
4. 传输模式和隧道模式
5. 
6. 因为拆包的时候需要查看IP头里面的协议号得知后面封装的是ESP头，如果加密掉则IP不知道上层数据是什么
7. SPI、序列号、认证数据ICV
8. 全部加密无法得知上层协议是什么，要根据这个新增的IP头来进行转发
9. 可以做到机密性、完整性、抗重性、真实性
10. 机密性指的是ESP可以对IP TCP data进行封装加密
11. 完整性是指在验证时用md5进行hash放在esp尾部来进行一个完整性检查
12. 抗重性指的是防重放攻击，通过序列号来实现

3.为什么需要IKE这个协议？IKE是什么意思？IKE的版本1有哪些阶段？第一阶段干什么？第二阶段干什么？第一阶段有哪些模式？有什么差别？主模式交换几个报文？第一二个报文交互些什么信息？第三四个报文交互什么参数？DH算法怎么计算的？质数P怎么来的？华为设备g为多少？第五六个报文作用是什么？感兴趣流在什么时候协商的？IPsecSA什么时候协商的？IPsec SA有哪些类型？

1. 互联网密钥交换协议，用来协商参数
2. 版本1有IKE SA和IPSec SA
3. 第一阶段用于协商IKE的参数
4. 第二阶段用来协商IPsec的参数
5. 主模式和野蛮模式
6. 主模式后面的东西都是有加密的，野蛮模式无加密野蛮模式快
7. 主模式交换6个报文
8. 用来做安全提议
9. 用于计算密钥DH
10. 质数P随机产生
11. 华为g为2
12. 身份验证
13. 感兴趣流在12报文中协商的
14. 等第一个阶段的6个报文或野蛮模式3个报文结束
15. 手工建立和IKE建立